Hallo!

Ich bin neu in diesem Forum und leider möglicherweise von einem Trojaner geplagt. Deshalb mache ich mir jetzt Sorgen um meinen PC und meine Daten und suche hier Hilfe.

Ich bin auf eine Seite gekommen, die mir eine Virusinfektion aufschwatzen wollte (da stand: Security Analysis) und es ging auch ein kleines Fenster auf (ich weiß nicht mehr was dann da stand…). Das erste Mal habe ich es mit dem X-Button geschlossen, dann kam es nochmal, dann habe ich den Browser (Firefox) über den TaskManager beendet.

Dann hat sich AntiVir gemeldet:
Quelle: C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\3b9ufig9.default\Cache\2311495Ed01
Meldung: Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3

Ich habe dann den Cache-Ordner manuell gelöscht (über den Explorer).

Nach einigen Recherchen im Internet habe ich dann mehrere Programme drüber laufen lassen: AntiVir, Spybot, Ad-Aware, Malwarebytes, SuperAntiSpyware, Avast, Emsisoft Anti-Malware (jeweils immer mit vollständigen Scans). Das klingt wahrscheinlich nach Paranoia, ist es wohl auch

Nur Emsisoft und Avast haben was gefunden, aber nichts was sich irgendwie mit der AntiVir-Meldung deckt. Noch dazu ist ein Fund eine Datei die auch noch auf meiner externen Festplatte liegt (aber von mir wahrscheinlich nicht ausgeführt worden ist).

Außerdem habe ich auch noch eine .txt-Datei auf dem Desktop gefunden, die ich nicht kenne: Name: „profilingData“ Inhalt:
LoadStringResources,12961405,12961499,94,.\UImain.cpp,352
WinMain,12961405,24780446,11819041,.\UImain.cpp,339


Wie kann mir irgendjemand helfen, damit ich mich wieder beruhigen kann????

Wenn ich mit Schutz-Programmen scannen soll, dann mit oder ohne externer Festplatte und USB-Stick oder ohne???

Und kann man definitiv feststellen, ob mein PC clean ist???
Kann ich meine Dateien irgendwann wieder normal verwenden???

Was soll ich tun??? Welche Logs einstellen???
Vielen Dank im Voraus für eure Hilfe!

Kalleo

P.S.: Ach ja, ich bemerke auch, dass in meinem Browser jetzt neben der Adresszeile ein Icon ist, das ich da nie gesehen habe und auch nichts dafür gemacht habe (da steht: „This site has good rating (based ona small number of votes)“). Beim Darüberfahren scheint es so, als ob man das anklicken könnte… Ok, ok, es scheit Avast zu sein… Puh!!!

Zitat:

Was soll ich tun??? Welche Logs einstellen???

Alle vorhandenen Logs vollständig posten.

Zitat:

Und kann man definitiv feststellen, ob mein PC clean ist???

"Definitiv" oder "100%" gibt es nicht, erst recht nicht, wenn der Schädling ausgeführt wurde. Sow ie es aussieht, landete der Schädling im Browsercache und wurde von AntiVir rechtzeitig erkannt, bevor er ausgeführt wurde. Das heißt aber nicht, dass eine andere Schädlingsdatei mit raufkam, die nicht erkannt und evtl. doch ausgeführt wurde.

Vielen Dank schon mal, dass sich jemand um mich kümmert!

Hier das, was ich habe:

ANTIVIR:

Logfile created: 26.02.2011 21:20:32
Ad-Aware version: 9.0.2
Extended engine: 3
Extended engine version: 3.1.2770
User performing scan: ***

*********************** Definitions database information ***********************
Lavasoft definition file: 150.297
Genotype definition file version: 2011/02/24 17:00:17
Extended engine definition file: 8541.0

******************************** Scan results: *********************************
Scan profile name: Vollständiger Scan (ID: full)
Objects scanned: 317360
Objects detected: 0


Type Detected
==========================
Processes.......: 0
Registry entries: 0
Hostfile entries: 0
Files...........: 0
Folders.........: 0
LSPs............: 0
Cookies.........: 0
Browser hijacks.: 0
MRU objects.....: 0



Scan and cleaning complete: Finished correctly after 11196 seconds

*********************************** Settings ***********************************

Scan profile:
ID: full, enabled:1, value: Vollständiger Scan
ID: folderstoscan, enabled:1, value: C:\,D:\,E:\
ID: useantivirus, enabled:1, value: true
ID: sections, enabled:1
ID: scancriticalareas, enabled:1, value: true
ID: scanrunningapps, enabled:1, value: true
ID: scanregistry, enabled:1, value: true
ID: scanlsp, enabled:1, value: true
ID: scanads, enabled:1, value: true
ID: scanhostsfile, enabled:1, value: true
ID: scanmru, enabled:1, value: true
ID: scanbrowserhijacks, enabled:1, value: true
ID: scantrackingcookies, enabled:1, value: true
ID: closebrowsers, enabled:1, value: false
ID: filescanningoptions, enabled:1
ID: archives, enabled:1, value: true
ID: onlyexecutables, enabled:1, value: false
ID: skiplargerthan, enabled:1, value: 20480
ID: scanrootkits, enabled:1, value: true
ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
ID: addtocontextmenu, enabled:1, value: false
ID: playsoundoninfection, enabled:1, value: false
ID: soundfile, enabled:0, value: *to be filled in automatically*\alert.wav

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
ID: schedules, enabled:1, value: true
ID: updatedaily1, enabled:1, value: Daily 1
ID: time, enabled:1, value: Sun Apr 18 18:04:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily2, enabled:1, value: Daily 2
ID: time, enabled:1, value: Sun Apr 18 00:04:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily3, enabled:1, value: Daily 3
ID: time, enabled:1, value: Sun Apr 18 06:04:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updatedaily4, enabled:1, value: Daily 4
ID: time, enabled:1, value: Sun Apr 18 12:04:00 2010
ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: false
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: false
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false
ID: updateweekly1, enabled:1, value: Weekly
ID: time, enabled:1, value: Sun Apr 18 18:04:00 2010
ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
ID: weekdays, enabled:1
ID: monday, enabled:1, value: false
ID: tuesday, enabled:1, value: false
ID: wednesday, enabled:1, value: true
ID: thursday, enabled:1, value: false
ID: friday, enabled:1, value: false
ID: saturday, enabled:1, value: false
ID: sunday, enabled:1, value: true
ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
ID: scanprofile, enabled:1, value:
ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
ID: showtrayicon, enabled:1, value: true
ID: autoentertainmentmode, enabled:1, value: false
ID: guimode, enabled:1, value: mode_advanced, domain: mode_advanced,mode_simple
ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
ID: layers, enabled:1
ID: useantivirus, enabled:1, value: true
ID: usespywareheuristics, enabled:1, value: true
ID: maintainbackup, enabled:1, value: true
ID: modules, enabled:1
ID: processprotection, enabled:0, value: false
ID: onaccessprotection, enabled:0, value: false
ID: registryprotection, enabled:0, value: false
ID: networkprotection, enabled:0, value: false


****************************** System information ******************************
Computer name: ***
Processor name: Intel(R) Core(TM) i5 CPU M 430 @ 2.27GHz
Processor identifier: Intel64 Family 6 Model 37 Stepping 2
Processor speed: ~2261MHZ
Raw info: processorarchitecture 9, processortype 8664, processorlevel 6, processor revision 9474, number of processors 4,
processor features: [MMX,SSE,SSE2,SSE3]
Physical memory available: 2110521344 bytes
Physical memory total: 4218281984 bytes
Virtual memory available: 1731248128 bytes
Virtual memory total: 2147352576 bytes
Memory load: 49%
Microsoft Service Pack 1 (build 7601)
Windows startup mode:

Running processes:
PID: 332 name: C:\Windows\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 492 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 540 name: C:\Windows\System32\wininit.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 568 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 608 name: C:\Windows\System32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 620 name: C:\Windows\System32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 628 name: C:\Windows\System32\lsm.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 676 name: C:\Windows\System32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 772 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 868 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 896 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 996 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 116 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 440 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 552 name: C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\stacsv64.exe
owner: SYSTEM domain: NT-AUTORITÄT
PID: 1116 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1164 name: C:\Windows\System32\hpservice.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1224 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1344 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1380 name: C:\Windows\System32\wlanext.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1388 name: C:\Windows\System32\conhost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1508 name: C:\Windows\System32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1672 name: C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1696 name: C:\Windows\System32\dwm.exe owner: *** domain: ***
PID: 1716 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1748 name: C:\Windows\explorer.exe owner: *** domain: ***
PID: 1796 name: C:\Windows\System32\taskhost.exe owner: *** domain: ***
PID: 1916 name: C:\Program Files\Synaptics\SynTP\SynTPEnh.exe owner: *** domain: ***
PID: 1928 name: C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe owner: *** domain: ***
PID: 1996 name: C:\Program Files\Java\jre6\bin\jusched.exe owner: *** domain: ***
PID: 2004 name: C:\Program Files\IDT\WDM\sttray64.exe owner: *** domain: ***
PID: 2016 name: C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe owner: *** domain: ***
PID: 1984 name: C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe owner: *** domain: ***
PID: 1532 name: C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe owner: *** domain: ***
PID: 1540 name: C:\Program Files\Windows Sidebar\sidebar.exe owner: *** domain: ***
PID: 2076 name: C:\Program Files (x86)\ArcSoft\TotalMedia 3.5\TMMonitor.exe owner: *** domain: ***
PID: 2092 name: C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE owner: *** domain: ***
PID: 2228 name: C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe owner: SYSTEM domain: NT-
AUTORITÄT
PID: 2252 name: C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\AESTSr64.exe
owner: SYSTEM domain: NT-AUTORITÄT
PID: 2280 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2308 name: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe owner: SYSTEM
domain: NT-AUTORITÄT
PID: 2340 name: C:\Program Files (x86)\Bonjour\mDNSResponder.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2380 name: C:\Windows\SysWOW64\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2428 name: C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2496 name: C:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe owner: SYSTEM domain: NT-
AUTORITÄT
PID: 2528 name: C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2592 name: C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe owner: SYSTEM domain: NT-
AUTORITÄT
PID: 2636 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2680 name: C:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\TVCapSvc.exe owner: SYSTEM domain: NT-
AUTORITÄT
PID: 2700 name: C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe owner: *** domain: ***
PID: 2744 name: C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe owner: *** domain: ***
PID: 2764 name: C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe owner: *** domain: ***
PID: 2772 name: C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe owner: *** domain: ***
PID: 2780 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe owner: *** domain: ***
PID: 2788 name: C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe owner: *** domain: ***
PID: 2820 name: C:\Program Files (x86)\iTunes\iTunesHelper.exe owner: *** domain: ***
PID: 2852 name: C:\Program Files (x86)\Common Files\Nokia\MPlatform\NokiaMServer.exe owner: *** domain: ***
PID: 2860 name: C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe owner: *** domain: ***
PID: 2988 name: C:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\TVSched.exe owner: SYSTEM domain: NT-
AUTORITÄT
PID: 3248 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3256 name: C:\Windows\System32\conhost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3360 name: C:\Windows\System32\taskeng.exe owner: *** domain: ***
PID: 3496 name: C:\Program Files (x86)\Hewlett-Packard\Media\Live TV\TVAgent.exe owner: *** domain: ***
PID: 3520 name: C:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe owner: *** domain: ***
PID: 3808 name: C:\Windows\System32\SearchIndexer.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4024 name: C:\Program Files\iPod\bin\iPodService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3296 name: C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4184 name: C:\Windows\System32\wbem\WmiPrvSE.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4212 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 4340 name: C:\Program Files\Synaptics\SynTP\SynTPHelper.exe owner: *** domain: ***
PID: 4700 name: C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe owner: SYSTEM domain: NT-
AUTORITÄT
PID: 4812 name: C:\Program Files (x86)\Hewlett-Packard\Shared\HpqToaster.exe owner: *** domain: ***
PID: 3992 name: C:\Program Files (x86)\Hewlett-Packard\HP Health Check\HPHC_Service.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4612 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3988 name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE owner: *** domain: ***
PID: 748 name: C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE owner:
NETZWERKDIENST domain: NT-AUTORITÄT
PID: 4708 name: C:\Windows\splwow64.exe owner: *** domain: ***
PID: 3208 name: C:\Windows\System32\notepad.exe owner: *** domain: ***
PID: 5000 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avcenter.exe owner: *** domain: ***
PID: 4304 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4764 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-Aware.exe owner: *** domain: ***
PID: 3040 name: C:\Windows\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3908 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe owner: *** domain: ***

Startup items:
Name: Corel File Shell Monitor
imagepath: C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
Name: WebCheck
imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name:
location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
imagepath: C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Name:
imagepath: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
Name:
location: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TMMonitor.lnk
imagepath: C:\Program Files (x86)\ArcSoft\TotalMedia 3.5\TMMonitor.exe

Bootexecute items:
Name:
imagepath: autocheck autochk *
Name:
imagepath: lsdelete

Running services:
Name: ACDaemon
displayname: ArcSoft Connect Daemon
Name: AeLookupSvc
displayname: Anwendungserfahrung
Name: AESTFilters
displayname: Andrea ST Filters Service
Name: AntiVirSchedulerService
displayname: Avira AntiVir Planer
Name: AntiVirService
displayname: Avira AntiVir Guard
Name: Appinfo
displayname: Anwendungsinformationen
Name: Apple Mobile Device
displayname: Apple Mobile Device
Name: AudioEndpointBuilder
displayname: Windows-Audio-Endpunkterstellung
Name: AudioSrv
displayname: Windows-Audio
Name: BFE
displayname: Basisfiltermodul
Name: BITS
displayname: Intelligenter Hintergrundübertragungsdienst
Name: Bonjour Service
displayname: Dienst "Bonjour"
Name: Com4QLBEx
displayname: Com4QLBEx
Name: CryptSvc
displayname: Kryptografiedienste
Name: DcomLaunch
displayname: DCOM-Server-Prozessstart
Name: Dhcp
displayname: DHCP-Client
Name: Dnscache
displayname: DNS-Client
Name: DPS
displayname: Diagnoserichtliniendienst
Name: EapHost
displayname: Extensible Authentication-Protokoll
Name: EFS
displayname: Verschlüsselndes Dateisystem (EFS)
Name: eventlog
displayname: Windows-Ereignisprotokoll
Name: EventSystem
displayname: COM+-Ereignissystem
Name: ezSharedSvc
displayname: Easybits Shared Services for Windows
Name: FontCache
displayname: Windows-Dienst für Schriftartencache
Name: gpsvc
displayname: Gruppenrichtlinienclient
Name: hidserv
displayname: Zugriff auf Eingabegeräte
Name: HP Health Check Service
displayname: HP Health Check Service
Name: hpqwmiex
displayname: hpqwmiex
Name: hpsrv
displayname: HP Service
Name: IKEEXT
displayname: IKE- und AuthIP IPsec-Schlüsselerstellungsmodule
Name: iphlpsvc
displayname: IP-Hilfsdienst
Name: iPod Service
displayname: iPod-Dienst
Name: KeyIso
displayname: CNG-Schlüsselisolation
Name: LanmanServer
displayname: Server
Name: LanmanWorkstation
displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
displayname: Lavasoft Ad-Aware Service
Name: LightScribeService
displayname: LightScribeService Direct Disc Labeling Service
Name: MpsSvc
displayname: Windows-Firewall
Name: Netman
displayname: Netzwerkverbindungen
Name: netprofm
displayname: Netzwerklistendienst
Name: NlaSvc
displayname: NLA (Network Location Awareness)
Name: nsi
displayname: Netzwerkspeicher-Schnittstellendienst
Name: nvsvc
displayname: NVIDIA Display Driver Service
Name: osppsvc
displayname: Office Software Protection Platform
Name: PcaSvc
displayname: Programmkompatibilitäts-Assistent-Dienst
Name: PlugPlay
displayname: Plug & Play
Name: Power
displayname: Stromversorgung
Name: ProfSvc
displayname: Benutzerprofildienst
Name: PSI_SVC_2
displayname: Protexis Licensing V2
Name: RichVideo
displayname: Cyberlink RichVideo Service(CRVS)
Name: RpcEptMapper
displayname: RPC-Endpunktzuordnung
Name: RpcSs
displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
displayname: Sicherheitskonto-Manager
Name: Schedule
displayname: Aufgabenplanung
Name: SeaPort
displayname: SeaPort
Name: SENS
displayname: Benachrichtigungsdienst für Systemereignisse
Name: ShellHWDetection
displayname: Shellhardwareerkennung
Name: Spooler
displayname: Druckwarteschlange
Name: SSDPSRV
displayname: SSDP-Suche
Name: STacSV
displayname: Audio Service
Name: stisvc
displayname: Windows-Bilderfassung (WIA)
Name: SysMain
displayname: Superfetch
Name: Themes
displayname: Designs
Name: TrkWks
displayname: Überwachung verteilter Verknüpfungen (Client)
Name: TVCapSvc
displayname: TV Background Capture Service (TVBCS)
Name: TVSched
displayname: TV Task Scheduler (TVTS)
Name: UxSms
displayname: Sitzungs-Manager für Desktopfenster-Manager
Name: WdiServiceHost
displayname: Diagnosediensthost
Name: WinDefend
displayname: Windows Defender
Name: WinHttpAutoProxySvc
displayname: WinHTTP-Web Proxy Auto-Discovery-Dienst
Name: Winmgmt
displayname: Windows-Verwaltungsinstrumentation
Name: Wlansvc
displayname: Automatische WLAN-Konfiguration
Name: wscsvc
displayname: Sicherheitscenter
Name: WSearch
displayname: Windows Search
Name: wuauserv
displayname: Windows Update
Name: wudfsvc
displayname: Windows Driver Foundation - Benutzermodus-Treiberframework




MALWAREBYTES‘

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5891

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

27.02.2011 12:10:29
mbam-log-2011-02-27 (12-10-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 295576
Laufzeit: 1 Stunde(n), 22 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



AVAST!

Emsisoft Anti-Malware - Version 5.1
Letztes Update: 27.02.2011 17:16:51

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn: 27.02.2011 17:17:14

Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID gefunden: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel gefunden: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID gefunden: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel gefunden: Trace.Registry.dl.tvunetworks.com!A2
C:\Users\***\von SEAGATE (nur Kopien!!!)\MUSIK\MZ\BILDER und ppt\President\bushshootout.exe gefunden: Trojan-GameThief.Win32.Lmir.qkh!A2

Gescannt

Dateien: 549528
Traces: 586552
Cookies: 7
Prozesse: 83

Gefunden

Dateien: 1
Traces: 4
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 27.02.2011 19:53:41
Scan Zeit: 2:36:27

C:\Users\***\von SEAGATE (nur Kopien!!!)\MUSIK\MZ\BILDER und ppt\President\bushshootout.exe Quarantäne Trojan-GameThief.Win32.Lmir.qkh!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID Quarantäne Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel Quarantäne Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID Quarantäne Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel Quarantäne Trace.Registry.dl.tvunetworks.com!A2

Quarantäne

Dateien: 1
Traces: 4
Cookies: 0


Fehlt was? Soll ich weitere Scans machen???

Danke!

Guten Morgen!

Ich hab noch ein bisschen im Forum rumgelesen und bin auf einen Thread gekommen, in dem stand, dass ein Neuaufsetzen des PCs einfacher sei.

Auch ich hab mir überlegt das nach der Bereinigung sowieso zu machen (das ist dann quasi so wie nach dem Händewaschen sie sich noch mal zu waschen): man fühlt sich danach besser. (Vielleicht aber auch nur Illusion.)

Würde das eventuell auch in meinem Fall helfen???
Ich würde aber meine Daten auf meine externe Festplatte ziehen und die dann wieder zurück auf den neu aufgesetzten PC schieben. Es sind also die aktuellen Dateien auf dem PC, die ich danach wieder verwenden würde.
Allerdings kann ich nicht einschätzen, ob der Trojaner, vor dem ich ja Angst habe, dann auch mitumzieht?

Bitte nicht gleich in Panik oder Hysterie verfallen, formatieren kannst du immer noch.

Mal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hier der erste Log: Malwarebytes‘

Hab aktualisiert, WLAN aus und AntiVir und was ich sont noch gefunden habe deaktiviert.

OTL-Log folgt. Ältere Scans habe ich schon oben gepostet.



Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5941

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

03.03.2011 14:28:09
mbam-log-2011-03-03 (14-28-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 296801
Laufzeit: 1 Stunde(n), 24 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier sind die OTL-Logs

Ziemlich unauffällig.

Zitat:

C:\Users\***\von SEAGATE (nur Kopien!!!)\MUSIK\MZ\BILDER und ppt\President\bushshootout.exe

Weißt du noch was das war?

Zitat:

Zitat von cosinus

Ziemlich unauffällig.

C:\Users\***\von SEAGATE (nur Kopien!!!)\MUSIK\MZ\BILDER und ppt\President\bushshootout.exe

Weißt du noch was das war?

Ok, danke, das freut mich.

Das mit dem Pfad war was, was ich mal en bloc als mit anderen Dateien runtergeladen habe, aber aufgemacht habe ich es denke ich nicht. Komischerweise finde ich es aber in dem Ordner nicht mehr.

Was soll ich jetzt machen?

Zitat:

Das mit dem Pfad war was, was ich mal en bloc als mit anderen Dateien runtergeladen habe

Sry aber das beantwortet nicht meine Frage, und wirklich verstehen tu ich den Satz auch nicht

2. Versuch
Ich habe die Datei wahrscheinlich im Ordner auf meinen PC gezogen. (Das muss so vor 4 Jahren gewesen sein, hab aber bislang nichts gemerkt, was irgendwie komisch sein sollte und hab auch mehrmals neu aufgesetzt und einmal den PC gewechselt, nur eben immer meine eigenen Dateien mitgenommen.)
Keine Ahnung, was es gewesen sein könnte; ich denke aber, dass ich das eher nicht ausgeführt habe. Was aber wie gesagt komisch ist, ist, dass ich es auch nicht mehr finde.

Ich hab noch eine Frage: Ich hab irgendwo im Internet gelesen, dass man über freigegebene Ports schauen kann, ob irgendwelche unliebsamen Programme nach außen funken. Ich hab dann auch nach den Ports geschaut und ein Abgleich mit einer Liste, die beschreibt welche Trojaner welche Ports verwenden, hat ergeben, dass der Port 139 irgendwie verwendet wird (?), in der Liste stand, dass das der Trojaner „Chode“ sein könnte.
Ich kenn mich mit dem Zeug nicht aus, ich habe nur geschaut (nichts verändert) und verglichen. Vielleicht hilft das weiter.

Soll ich noch irgendwas (Log, etc.) posten?

Würd mich freuen, wenn es weitergehen würde

Sry ich war über WE umgezogen und kann erst mich jetzt wieder in die Fälle reinarbeiten. Hat sich inzwischen irgendwas getan oder gilt noch der Post so mit deiner Beschreibung vom 4.3. um 22:54?

Hat sich nichts getan, aber ich verwende den PC auch nur um hier ins Forum zu gehen, sonst nichts (keine Websites, auch sonst keine Aktionen).

Zitat:

Ich hab noch eine Frage: Ich hab irgendwo im Internet gelesen, dass man über freigegebene Ports schauen kann, ob irgendwelche unliebsamen Programme nach außen funken.

Ähem, du musst kein Loch in die Firewall (bzw. in den Router) bohren, damit Programme Kontakt nach außen aufnehmen können. Angenommen du sperrst jetzt routerseitig oder in der Windows-Firewall einen bestimmten Port oder Dienst, dann kann der Serverdienst nicht mehr von außen erreicht werden, der auf diesem Port lauscht. Beispiel: auf deinem Rechner läuft der Webserver Apache und horcht wie es bei http üblich ist auf Port 80. In der Windows-Firewall ist aber keine Ausnahme für diesen Port definiert, dann kann man von außen deinen Webserver auf deinem Rechner nicht erreichen.

Der ausgehende Traffic wird damit nicht unterbunden, sog. Personal Firewalls versprechen zwar, dass sie zuverlässig ausgehenden Traffic filtern können, aber das ist nur begrenzt möglich.

Übrigens Port 139 ist ein Port, auf dem üblichweise ein Windows-Dienst lauscht (NetBIOS Session Service) => NetBIOS over TCP/IP ? Wikipedia

gabs in der zwischenzeit eigentlich weitere/neue Funde?
Hast du eine Sicherung aller wichtigen Daten für den Fall der Fälle auf einem externen Medium? Wenn ja, können wir mal CF durchlaufen lassen, sag Bescheid wenn du alles gesichert hast, dann poste ich mal eine Anleitung.